Múltiples vulnerabilidades en productos de Rockwell Automation
- Arena versiones 15.10.00 y anteriores
- FactoryTalk Activation Manager v4.00 y v4.01, distribuido en Wibu-Systems CodeMeter v6.50b y anteriores
- FactoryTalk Activation Manager v4.00 y anteriores, distribuido con FlexNet Publisher v11.11.1.1 y anteriores
- Notar que los siguientes productos requieren el uso de FactoryTalk Activation Manager:
- Arena
- Emonitor
- FactoryTalk AssetCentre
- FactoryTalk Batch
- FactoryTalk EnergyMetrix
- FactoryTalk eProcedure
- FactoryTalk Gateway
- FactoryTalk Historian Classic
- FactoryTalk Historian Site Edition (SE)
- FactoryTalk Information Server
- FactoryTalk Metrics
- FactoryTalk Transaction Manager
- FactoryTalk VantagePoint
- FactoryTalk View Machine Edition (ME)
- FactoryTalk View Site Edition (SE)
- FactoryTalk ViewPoint
- RSFieldBus
- RSLinx Classic
- RSLogix 500
- RSLogix 5000
- RSLogix5
- RSLogix Emulate 5000
- RSNetWorx
- RSView32
- SoftLogix 5800
- Studio 5000 Architect
- Studio 5000 Logix Designer
- Studio 5000 Logix Emulate
- Studio 5000 View Designer
Rockwell Automation y el investigador Ariele Caltabiano en colaboración con Zero Day Initiativede Trend Micro, han identificado varias vulnerabilidades en las que un potencial atacante con acceso a los dispositivos afectados podría llegar acceder a información sensible, sobrescribir contenido, realizar una denegación de servicio o provocar un desbordamiento de búfer pudiendo llegar a ejecutar código de forma remota.
Rockwell Automation recomienda a los usuarios con versiones afectadas de CodeMeter o FlexNet Publisher que han sido instalados con Factory Talk Activation Manager actualizar a la versión v4.02. Si no es posible actualizar directamente la versión de Factory Talk Activation Manager v4.02, se debería previamente actualizar CodeMeter a una versión que soporte dicha actualización.
Los usuarios de Arena Software disponen de versiones actualizadas v15.10.01 y posteriores, que corrigen estas vulnerabilidades, que pueden descargarse en el siguiente enlace (Acceso privado):
https://rockwellautomation.custhelp.com/app/answers/detail/a_id/1073588
Rockwell Automation recomienda aplicar otras medidas de seguridad adicionales a las propias actualizaciones:
- Bloquear todo el tráfico Ethernet/IP u otros protocolos basados en CIP, donde no sea estrictamente necesario. Los puertos que deben tener un acceso restringido son puerto TCP/2222 y UDP/44818. Se recomienda utilizar medias de control de tráfico como cortafuegos, dispositivos UTM, etc.
- Minimizar la exposición de los dispositivos y asegurar que no estén accesibles desde Internet.
- Realizar los accesos remotos con métodos seguros, como son el uso de VPN (Virtual Private Networks).
- Cross-Site-Scripting (“XSS”): un potencial atacante local, podría aprovechar una vulnerabilidad en Wibu-Systems CodeMeter para inyectar scripts web o código HTML, aprovechando un campo en el fichero de configuración. Esta vulnerabilidad permitiría a dicho atacante acceder a información sensible o reescribir el contenido de la página HTML. Se ha asignado el código CVE-2017-13754 para esta vulnerabilidad.
- Incorrecta restricción de operaciones dentro de los límites de la memoria del buffer: una función propietaria encargada de copiar las cadenas dentro de FlexNet Publisher, no válida de manera adecuada los datos de entrada, permitiendo a un potencial atacante, sin necesidad de estar autenticado, enviar mensajes especialmente modificados para causar un desbordamiento de búfer. Se ha asignado el código CVE-2015-8277 para esta vulnerabilidad.
- Incorrecta liberación de memoria: el uso de memoria sin que esta sea previamente liberada de manera correcta, podría ser aprovechada por un potencial atacante para enviar paquetes especialmente malformados, causando a la aplicación un estado inestable, pudiendo afectar a la disponibilidad o la pérdida de datos no guardados. Se ha asignado el código CVE-2018-8843 para esta vulnerabilidad.
